CLOUD COMPUTING: PRIVACY E SICUREZZA. ANALISI DELLE CRITICITA APPLICATIVE



Похожие документы
PRIVACY E DELLA SICUREZZA (ASPETTI CHE IL CLOUD POTREBBE METTERE IN PERICOLO)

Il contratto nel Cloud Computing: approfondimenti ed esame di alcuni casi pratici

Gli adempimenti normativi in caso di servizi. Relatore Avv. Valentina Frediani

Trasferimento dei Dati all Estero. Titolo VII Art

Cloud Service Broker

Sicurezza dei dati e dell informazione all epoca del cloud: gli aspetti pratici

C Cloud computing Cloud storage. Prof. Maurizio Naldi

CloudComputing: scenari di mercato, trend e opportunità

Sicurezza dei dati e delle informazioni all epoca del cloud Le norme

Trattamento dei dati personali

il CLOUD a norma di legge

17 Maggio 2012 Exposanità Tutela della privacy del cittadino e della sicurezza dei dati sensibili nell'era del cloudcomputing

Il trattamento dei dati personali nei servizi di cloud computing localizzati all'estero. Torino, 11 aprile 2011

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Fondo Pensione Aperto Popolare Vita

Politica per la Sicurezza

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

NORMATIVA SULLA VIDEOSORVEGLIANZA

I contratti cloud: cosa chiedere, come scegliere

Gartner Group definisce il Cloud

INFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato

POLIZZA MULTIRISCHIO PER LE AZIENDE AGRICOLE. DISPOSIZIONI GENERALI Mod. AGRI 01 T

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING

LE RETI: STRUMENTO AZIENDALE

Introduzione al Cloud Computing

INDICE DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI PRINCIPIO DI NECESSITA NEL TRATTAMENTO DEI DATI

REGOLAMENTO DI ATTUAZIONE DELLE NORME SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DI DATI PERSONALI

Informativa Privacy Privacy Policy di

Richiesta di pagamento su polizza vita individuale

L outsourcing e il cloud computing nelle recenti disposizioni di vigilanza prudenziale per le banche di Banca d Italia

Cloud Computing....una scelta migliore. ICT Information & Communication Technology

Profili giuridici del cloud in sanità: dalla digitalizzazione alla privacy

FORM CLIENTI / FORNITORI

Continuità operativa e disaster recovery nella pubblica amministrazione

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing. I dati nella nuvola : aspetti legali e contrattuali. Avv.

TRATTAMENTO DEI DATI PERSONALI

C A T A N I A

Cloud Computing: principali aspetti normativi

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

Circolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA

Allegato 9) Modello informativa clienti e fornitori

TRATTAMENTO DATI PERSONALI

PROFILI NORMATIVI E CONTRATTUALI RELATIVI ALLA SICUREZZA E ALLA RISERVATEZZA DEI DATI NEI SERVIZI DI CLOUD COMPUTING. Avv.

Regolamento di attuazione degli articoli 20, comma 2, e 21 del decreto legislativo 30 giugno 2003 n. 196,

INFORMATIVA PRIVACY E COOKIE POLICY

MODULO DI DESIGNAZIONE/REVOCA DEI BENEFICIARI

PERSEO SIRIO Fondo nazionale pensione complementare dei Dipendenti Pubblici e Sanità

Indirizzo di posta elettronica Telefono Cellulare

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI


COSA DIRE ANCORA DEL CLOUD? ASPETTI LEGALI E CONTRATTUALI

LegalDoc Family: conservazione sostitutiva a norma

Stefano Mainetti Fondazione Politecnico di Milano

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART. 13 DEL D.LGS. 196/2003 (C.D. CODICE PRIVACY)

La platea dopo la lettura del titolo del mio intervento

Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003

Cloud computing. Aspetti legali.

2. Il trat (Indicare le modalità del trattamento: manuale / informatizzato / altro.) FAC-SIMILE

PRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, (MI) P.IVA/CF: REA: MI

IL CLOUD COMPUTING DALLE PMI ALLE ENTERPRISE. Salvatore Giannetto Presidente Salvix S.r.l

Fattura Elettronica. Verso l amministrazione digitale, in tutta sicurezza.

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

FORMAZIONE PRIVACY 2015

2015/Mod. Prev. 1 Adesione al Fondo

Informativa ai sensi dell'art. 13 del Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di trattamento dei dati personali

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

!! "! # $ %! &! ' # (() '! '

corrispondente alla pagina iniziale del sito ufficiale della Costruire Holding S.r.l.

LA VERIFICA FISCALE SUI DOCUMENTI INFORMATICI. 16 gennaio 2009

Disposizioni in materia di trattamento dei dati personali.

PRIVACY POLICY SITO INTERNET

Fatturazione elettronica adempimento degli obblighi fiscali e tenuta delle scritture contabili mediante strumenti digitali

Conservazione elettronica della fatturapa

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

atf - federfarma brescia associazione dei titolari di farmacia della provincia di brescia

Il Cloud per aziende e pubbliche amministrazioni

Транскрипт:

S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO NUOVI SCENARI TECNOLOGICI CLOUD COMPUTING: PRIVACY E SICUREZZA. ANALISI DELLE CRITICITA APPLICATIVE Indice: Storia e nozione di Cloud I pro e i contro I modelli di servizio Problematiche specifiche connesse con la Privacy Public cloud storage provider verifica presso alcuni fornitori in merito al rispetto della privacy Responsabilità per la gestione on-line Internet banking Verifiche da effettuare nella scelta del provider DR. PAOLO LUPPI 5 Dicembre 2012 - Ordine Dottori Commercialisti - C.so Europa, 11 - Milano Evoluzione del mercato IT Nuovo modello di gestione delle risorse informatiche Distinzione Capex # Opex Amazon 2002 Cloud Computing segue poi Google 2006 con introduzione di applicativi nella nuvola I Pro del Cloud I vantaggi del CLOUD per il cliente: Semplificazione della gestione informatica Vantaggio finanziario/economico (CapEx / OpEx) Accesso semplificato nell erogazione del servizio I vantaggi del CLOUD per il fornitore del servizio: Ottimizzazione delle risorse su più clienti Fatturazione del servizio preciso 3 4

I contro Gli aspetti giuridici, connessi con il trattamento di dati sensibili e giudiziari Gli aspetti giuridici connessi con le responsabilità delle parti nel trattamento dei dati La localizzazione dei dati Rischio condivisione dati di soggetti diversi Modelli di servizio NIST SAAS (Software as a Service) Rende disponibili applicazioni informatiche (es: email, la gestione delle risorse umane, i sistemi di Unified Communication, le soluzioni di CRM, e-learning, back up remoto) IAAS (Infrastructure as a Service) In genere mette a disposizione vere e proprie infrastrutture (es. server virtuali remoti Amazon S3 e EC2) PAAS (Platform as a service) Rende disponibili piattaforme informatiche (es. Google Apps Engine, Microsoft Windows Azure) 5 6 Modelli di Cloud Privacy e Cloud Normativa di riferimento Privacy: Private Cloud Computing (nuvola privata): vantaggio è il controllo puntuale da parte del titolare Public Cloud infrastruttura di proprietà del fornitore specializzato di servizi via web: problema è la perdita del controllo da parte del cliente Cloud ibrido Direttiva 95/46/CE e Codice Privacy (D.Lgs. 196/2003 T.U.L.P.) e proposta nuovo regolamento comunitario Titolare Responsabile Incaricato Esistenza di più titolari autonomi (difficile nel caso del Cloud) Il Buyer è il titolare Cloud provider è normalmente incaricato Cloud provider è raramente responsabile o cotitolare 7 8

Privacy e Cloud Condizioni di liceità del trattamento Informativa Consenso specifico Autorizzazione del Garante al trattamento (n. 4/2011) dei dati sensibili da parte dei liberi professionisti Il trattamento deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto all incarico conferito dal cliente Comunicazione dei dati a terzi con limitazioni Privacy e Cloud Problemi per dati sanitari per professionisti Particolari condizioni per il trattamento: possibilità di comunicazione solo se necessario per finalità di prevenzione, accertamento o repressione dei reati Consenso e informative per il Cloud devono essere molto dettagliate (ove possibile) per non incorrere in responsabilità Problema legge applicabile Privacy: nazionale o estera? Legislatore europeo ha stabilito tre regole: 1)Stabilimento titolare (criterio principale): legge del luogo del titolare 2)Luogo dove si trovano gli strumenti utilizzati per il trattamento (se soggetto non EU) 3)Stabilimento responsabile (per le misure di sicurezza) Non rileva nazionalità delle parti e irrilevante dove si trovano i dati 9 10 Trasferimento dati all estero (art. da 42 a 45 T.U.L.P.) Art. 42. (Trasferimenti all interno dell Unione Europea o allo Spazio Economico Europeo) Art. 45. E vietato tutto ciò che non è espressamente previsto. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'unione europea, è vietato Art. 43. (Trasferimenti consentiti in Paesi terzi) 1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'unione europea o allo Spazio Economico Europeo è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato 11 12

c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. e) è necessario ai fini dello svolgimento delle investigazioni difensive f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi g) è necessario, in conformità ai rispettivi codici di deontologia, per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni. Art. 44. (Altri trasferimenti consentiti) 1. Il trasferimento di dati personali diretti verso un Paese non appartenente all'unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: a) individuate dal Garante; b) individuate dalla Commissione europea. Decisioni prese: Svizzera, Israele, Canada, Andorra, Argentina 13 14 - Documenti digitali con rilevanza tributaria condizioni per la conservazione all estero necessità della reciproca assistenza per conservazione delle fatture elettroniche (AE, Circ. 5/E del 29.2.2012, punto 6.4) - Divieto di conservazione sostitutiva all estero per scritture contabili, fatture acquisto, libri sociali obbligatori, DDT conservazione solo nel territorio italiano (AE, Circ. 5/E del 29.2.2012, punto 6.4) - Amministratore di sistema: difficoltà applicative Privacy e Cloud storage provider Dropbox www.dropbox.com Memopal www.memopal.com Wuala www.wuala.com No Safe Harbour, fino al 2/2012 Rispetta la normativa italiana vigente Non indica dove sono conservati dati Vantaggio èla criptazione in locale Cancellazione non certa, solo se richiesto dalla legge Dopo 7 (40) gg fine rapporto cancellazione dei dati Comunicazione dati a terzi Garantisce la non consultazione dati utenti, salva richiesta autorità Giudiziaria autorizzata 15 16

Privacy e Cloud storage provider Google / Google Apps / Google Apps for business Amazon Safe Harbour indicato come opzione in alcune Privacy Policy Dichiarata la comunicazione dei dati a terzi Responsabilità per la gestione on-line Internet banking Responsabilità in caso di frodi in mancanza di frodi accertate Giurisprudenza non univoca Arbitro bancario finanziario Sentenza 472/2012 Tribunale di Asti La banca deve provare il comportamento negligente del cliente, anche in caso in assenza di violazioni o effrazioni del sistema Consapevolezza dei rischi, politiche di sicurezza e collaborazione banche e utenti 17 18 Privacy e Cloud Come superare i problemi connessi con la privacy Private Cloud Valutare i dati da rendere disponibili nel Cloud Scegliere la localizzazione del server e verificare la legge applicabile Proprietà dei dati Analizzare la restituzione dei dati in caso di cessazione del servizio Problema della distruzione dei dati in caso di cessazione del servizio Consapevolezza dei rischi Verifiche da effettuare nella scelta del provider: 1. Valutare bene il fornitore e la sua affidabilità 2. Valutare i dati da fornire e la loro localizzazione 3. Valutare la presenza di filiere di service provider 4. Valutare i rischi che ne possono scaturire 5. Quali misure di prevenzione sono adottate 6. Attenzione particolare ai servizi gratuiti 7. Attenzione alle clausole contrattuali 19 20

Vi ringrazio per l attenzione Paolo Luppi pluppi@luppi.it 21

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back